вопрос о pipe - не нарезается трафик

kaats · Вт ноя 20, 2007 10:18 am

Проблема: пользователю не ограничивает скорость, установленную в тарифном плане.
Входные данные:
- создан тарифный план с помегабайтной оплатой с тремя временными интервалами. Указана скорость IN -512Kbits OUT-256Kbits для вссех интервалов.
-пользователя в инет пускает, деньги считает правильно.
- pipe создаются
ipfw p sh
ipfw: DEPRECATED: 'p' matched 'pipe' as a sub-string
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
03000: 512.000 Kbit/s 0 ms 10 KB 0 queues (1 buckets) droptail
03001: 256.000 Kbit/s 0 ms 10 KB 0 queues (1 buckets) droptail
- натинг - строка из ipfw sh
00005 2237 1447145 divert 8668 ip from not 10.1.1.0/24 to any via fxp0
- использую exppp
----------------------------
Вопрос: Подскажите, пожалуйста, куда копать. Спасибо

ЗЫ. В Мониторинг ->Dialup / VPN не показывает Ex_IN и Ex_OUT .
Пусто в столбце "скорость"
Это правильно?
Что нужно , что бы в них отображалась информация???

sopov · Вт ноя 20, 2007 4:16 pm

попробуйте изменить правило

divert 8668 ip from not 10.1.1.0/24 to any via fxp0

на

Код: Выделить всё

divert 8668 ip from any to any via fxp0

Должно подействовать...

kaats · Вт ноя 20, 2007 5:31 pm

Спасибо за ответ
--------------------------------------------------------------------
Забыл описать...
ip-pool в NAS 10.30.10.x
ip в локальной сети (адаптеров клиентов) , выдается dhcp с диапазона 10.1.1.0/24

поэтому и натить все, кроме 10.1.1.0/24
divert 8668 ip from not 10.1.1.0/24 to any via fxp0
---------------------------------------------------------------------
Завтра попробую Ваше предложение, но больше склонен к тому, что правила, которые добавляет абил в ipfw pipe с номером строки 3000+
добавляются уже после того как пакеты ушли с фаервола - то биш они к 3000 строчке не доходят.... (думаю так).

ЗЫ "переполз" недавно с линукса на фрибсд - многое "открываю" для себя заново....

sopov · Ср ноя 21, 2007 6:48 am

Это не совсем правильно... Точнее правильно, но не будут работать пайпы. В начале правил проставте

Код: Выделить всё

reject ip from not me to not me via rl0

rl0 - интерфейс смотрящий в локалку - замените его на свой. Следующим правилом добавте

Код: Выделить всё

divert 8668 ip from any to any via fxp0

Должно заработать.

kaats · Ср ноя 21, 2007 11:08 am

Да, действительно, Вы правы
сделал простейший фаервол:

Код: Выделить всё

> 
!/bin/sh -
ipfw="/sbin/ipfw -q"
# Internet
inet_if="fxp0"                            # интерфейс на роутер (в мир)
inet_ip="ххх.ххх.ххх.ххх"          # внешний ip
inet_net="ххх.ххх.ххх.0"
inet_mask="255.255.255.0"
# Lan1
lan_if="em0"                      # интерфейс в локалку
lan_ip="10.1.1.10"              # ip интерфейса в локалку
lan_net="10.1.1.0"
lan_mask="255.255.255.0"
lan="${lan_net}:${lan_mask}"
lan_bcast="10.1.1.255"
# PPPoE    (PPTP)
ppp_net="10.30.10.0"            # сеть, выдается NAS
ppp_mask="255.255.255.0"
ppp="${ppp_net}:${ppp_mask}"

${ipfw} -f flush
${ipfw} add 390 reject ip from not me to not me via ${lan_if}
${ipfw} add 400 divert natd ip from any to any via ${inet_if}
${ipfw} add 65535 allow ip from any to any

pipe заработали, буду постепенно правила добавлять и проверять работоспособность.

Спасибо за помощь